网站 › 『病毒分析区』 › 对于QQ拼音或者小马KMS流氓行为的一次分析

CloudStrife 发表于 2016-9-6 16:59

对于QQ拼音或者小马KMS流氓行为的一次分析

标题可能是错怪QQ拼音了，因为准备发完这个帖子重装系统，也有可能是小马KMS激活工具的问题。
首先说说现象：
1.突然发现右下角有一个弹窗：（见图1）
然后我就很费解，看类名，qq.ad。。。看起来就是QQ的东西，而当时我只安装了QQ拼音输入法。
行吧，既然是rundll32的模块，那我就来看看是那个dll在作怪
2.打开PCHunter，看rundll32的模块：（见图2）
里面第一个模块非常可疑，那就从这个模块开刀，找到这个dll后，复制出来，用IDA加载
3.IDA加载后找到管家的一个位置，就是弹窗的代码：（见图3和图4）
到这里，很明显了，就是这个dll谈的窗
4.接下来要追踪始作俑者，一般来说rundll32就是为了加载dll的，所以一般人也不会用注入的方法，只需要给个参数就好了
5.那就用procmon来抓一下启动参数喽：（见图5和图6）
好的，到这里能看出来了，父进程id已经拿到了，结果一看竟然是explorer，好吧，那肯定是注入进
explorer里面的某个模块在捣蛋，然后我打开PCHunter去看explorer
6.吓我一跳，系统模块基本都被改了，一片红（见图7）
此时此刻我明白了，也有可能是KMS激活时候的工具问题。。。唉，重装系统吧，这次装完系统再装个QQ拼音
看还弹不弹窗。。。
file:///C:\Users\cloud`\Documents\Tencent Files\1668444265\Image\C2C\$220A{F@L2

file:///C:\Users\cloud`\Documents\Tencent Files\1668444265\Image\C2C\$220A{F@L2

CloudStrife 发表于 2016-11-22 19:29

932588089 发表于 2016-11-18 15:52
有个疑问 你怎么抓的参数？ 重启输入再抓？

嗯，在开机弹窗前抓的，如果重启explorer应该也可以，可惜现场被我破坏了，那会急着重装系统了。

羽月莉音 发表于 2016-11-14 23:28

天天虾虾 发表于 2016-9-7 12:04
一直使用搜狗！搜狗值得信赖~
有没有打广告的嫌疑？O(∩_∩)O哈哈~
搜狗一堆弹窗广告……时不时推广他们的浏览器data:image/png;base64,/9j/4AAQSkZJRgABAQEAYABgAAD/2wBDAAgGBgcGBQgHBwcJCQgKDBQNDAsLDBkSEw8UHRofHh0aHBwgJC4nICIsIxwcKDcpLDAxNDQ0Hyc5PTgyPC4zNDL/2wBDAQkJCQwLDBgNDRgyIRwhMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjIyMjL/wAARCAAPAA8DASIAAhEBAxEB/8QAHwAAAQUBAQEBAQEAAAAAAAAAAAECAwQFBgcICQoL/8QAtRAAAgEDAwIEAwUFBAQAAAF9AQIDAAQRBRIhMUEGE1FhByJxFDKBkaEII0KxwRVS0fAkM2JyggkKFhcYGRolJicoKSo0NTY3ODk6Q0RFRkdISUpTVFVWV1hZWmNkZWZnaGlqc3R1dnd4eXqDhIWGh4iJipKTlJWWl5iZmqKjpKWmp6ipqrKztLW2t7i5usLDxMXGx8jJytLT1NXW19jZ2uHi4+Tl5ufo6erx8vP09fb3+Pn6/8QAHwEAAwEBAQEBAQEBAQAAAAAAAAECAwQFBgcICQoL/8QAtREAAgECBAQDBAcFBAQAAQJ3AAECAxEEBSExBhJBUQdhcRMiMoEIFEKRobHBCSMzUvAVYnLRChYkNOEl8RcYGRomJygpKjU2Nzg5OkNERUZHSElKU1RVVldYWVpjZGVmZ2hpanN0dXZ3eHl6goOEhYaHiImKkpOUlZaXmJmaoqOkpaanqKmqsrO0tba3uLm6wsPExcbHyMnK0tPU1dbX2Nna4uPk5ebn6Onq8vP09fb3+Pn6/9oADAMBAAIRAxEAPwDvde1PUYfEAgh1ny0Zd0UaQI6rnIZZO/AAK56k+1eaePvh/FrviSXX7nVbi2F8ke1BZK/3I1QnPmDrtz0HWtHQ/FCa9b6pfaRAWtJ3hm1FJZWMtkxyMZICyAlWwVycYyFPFaOr65DqdtNbi2eIiRXtzuzwBtweePlA6dxXqYbB02lJrmT3fbReff8ABHjYzG1YNxi+V20XfV+XZfez/9k=

Hmily 发表于 2016-9-6 17:06

文章建议整理和深入下，说明前因后果和病毒行为分析，移动到病毒分析区。

龙骑统帅 发表于 2016-9-6 17:08

发完了？？？？？？？

pumture 发表于 2016-9-6 17:11

应该是小马的，我一直用QQ拼音u 没有弹窗

万一行了呢 发表于 2016-9-6 17:11

一直远离这两种东西

FuYunx 发表于 2016-9-6 17:13

QQ拼音应该不会。。用了几年了

平淡最真 发表于 2016-9-6 17:15

小马KMS激活工具有问题这个是大家都知道的常识

后来后走 发表于 2016-9-6 17:20

露珠，写详细点，并把你的工具发上来。小白也试试{:301_997:}{:301_997:}

std186 发表于 2016-9-6 17:29

平淡最真 发表于 2016-9-6 17:15
小马KMS激活工具有问题这个是大家都知道的常识

用了几次，不会出问题吧

辛苦了 发表于 2016-9-6 17:44

我今天刚完成从7变为10 一直用QQ拼音可惜这次在360宝库里没找到精简版的貌似下架了好可惜，我没发现有弹窗可能是你激活工具问题

查看完整版本: 对于QQ拼音或者小马KMS流氓行为的一次分析